一种拟态裁决参数消息同步的装置和方法与流程

本发明涉及网络空间安全防护技术领域，尤其涉及一种拟态裁决参数消息同步的装置及方法。

背景技术：

网络空间在蓬勃发展的同时，正面临着严峻的安全形势，存在大量针对网络空间的恶意攻击事件，另外网络系统复杂，不可避免的存在漏洞，因此网络空间既有来自外部威胁，又与内部安全漏洞问题相互交织，安全风险严峻复杂。在新的网络空间安全形势下，基于先验知识的传统防御手段难以应对各种攻击，需要转变防御思路，定义新的防御边界，巩固防线纵深，从被动迈向内生安全的主动防御。

中国专利cn201610853938.7“一种封装异构功能等价体的装置、方法及设备”提出了拟态安全防御技术，能从主动性、变化性和随机性中获得有利的内生防御态势，通过拟态环境进行动态变化，对攻击者则表现为难以观察和预测，从而大幅度增加包括未知的可利用的漏洞和后门在内的攻击难度和成本。其主要原理如附图1所示，输入代理器收到外部服务请求后，根据冗余控制器的代理策略，将外部服务请求发送给选定的一个或者多个异构功能等价体；异构功能等价体在接收到服务请求后工作运行，输出服务响应发送至输出代理器，并将拟态裁决参数发送给冗余控制器；输出代理器接收到服务响应后，根据冗余控制器的输出仲裁策略，选择其中一个异构功能等价体的输出作为外部服务响应进行发送。

冗余控制器对多个异构体之间的拟态裁决参数进行比较时，需要对同一外部服务请求产生的裁决参数进行比较，才能从中裁决出正常的异构功能等价体，这里涉及到异构功能等价体和冗余控制器之间拟态裁决参数消息的大量同步。但是在实际网络中，当外部服务请求非常多时，异构功能等价体发送给冗余控制器的拟态裁决参数频率非常高，很容易出现消息乱序、丢包等问题，使得冗余控制器收到的拟态裁决参数不是由同一外部服务请求所产生，从而导致裁决错误。如附图2所示，外部服务请求1、2、3依次由输入代理分别发给异构功能等价体1、2、3，在正常情况下每个异构功能等价体依次输出裁决参数1、2、3给冗余控制器，其中异构功能等价体1发送的裁决参数为正常序列，即依次为裁决参数1、2、3；异构功能等价体2发送的裁决参数由于消息乱序，依次为裁决参数2、1、3；异构功能等价体3发送的裁决参数由于丢包，依次为裁决参数1、3。当冗余控制器收到裁决参数时，由于同一批裁决参数不是由同一外部服务请求所产生，无法进行比较选择正常的异构功能等价体，导致裁决错误。

技术实现要素：

有鉴于此，本发明的主要目的在于提供一种拟态裁决参数消息同步的装置及方法，降低由于消息乱序、丢包等导致的裁决错误概率，增大拟态安全系统的可靠性。

为了达到上述目的，本发明的技术方案是这样实现的：

一种拟态裁决参数消息同步的装置，包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器；输入代理器用于收到外部服务请求后根据冗余控制器的代理策略，将外部服务请求发送给选定的一个或者多个异构功能等价体；异构功能等价体用于产生裁决参数并发送给冗余控制器；冗余控制器，用于对异构功能等价体的裁决参数进行重新排序、整形和比较，并将裁决结果通知输出代理器；输出代理器用于根据冗余控制器的裁决结果将对应的等价体的输出作为外部服务响应进行发送；

进一步地，异构功能等价体包括裁决参数存储模块、裁决参数响应模块；其中：

裁决参数存储模块，在收到输入代理器发送的外部服务请求后，产生一至多个裁决参数，裁决参数包括但不限于路由转发表、协议转换表、配置参数表、数据判定结果、转发报文等；

裁决参数响应模块，在收到冗余控制器的请求消息后，将裁决参数存储模块中的裁决参数全部发送给冗余控制器，并清空裁决参数存储模块；

进一步地，所述冗余控制器包括裁决参数请求模块、裁决参数接收模块、裁决参数整形模块、比较裁决模块；其中：

裁决参数请求模块，用于定时向每个异构功能等价体发送裁决参数请求消息；

裁决参数接收模块，用于在裁决参数请求模块发送定时请求消息后，接收异构功能等价体发出的裁决参数，如果超过设定时间未收到，则关闭本次接收；所述的设定时间由配置或者默认值确定；

裁决参数整形模块，对收到的裁决参数，根据关键字对裁决参数进行重新排序；关键字由配置确定。

比较裁决模块，对整形后的等价体裁决参数两两进行相似度比较，裁决出相似度最大的异构功能等价体作为输出响应的等价体，并将裁决结果发送给输出代理器。

一种拟态裁决参数消息同步方法，包括如下步骤：

(1)异构功能等价体收到输入代理器发送的外部服务请求后，产生一至多个裁决参数，裁决参数包括但不限于路由转发表、协议转换表、配置参数表、数据判定结果、转发报文等；

(2)冗余控制器定时向每个异构功能等价体发送裁决参数请求消息；

(3)异构功能等价体在收到冗余控制器的请求消息后，将裁决参数批量发送给冗余控制器，并准备接收下一次的外部服务请求；

(4)冗余控制器在发送定时请求消息后，开始接收异构功能等价体发出的裁决参数，超过设定时间未收到，则关闭本次接收；所述的设定时间由配置或者默认值确定；

(5)冗余控制器对收到的裁决参数，根据关键字对裁决参数重新排序，进行整形；关键字由配置确定；然后对整形后的等价体裁决参数两两进行相似度比较，裁决出相似度最大的异构功能等价体作为输出响应的等价体，并将裁决结果发送给输出代理器。

由于本发明中，冗余控制器和异构功能等价体之间的拟态裁决参数请求消息由冗余控制器定时发起，使得异构功能等价体尽可能批量发送同一时间段内参数的裁决参数到冗余控制器进行裁决，降低了不同异构功能等价体之间裁决参数产生请求的不一致概率，还通过裁决参数整形，有效排除了裁决参数乱序的影响。总之，本发明降低由于消息乱序、丢包等导致的裁决错误概率，增大了拟态安全系统的可靠性。

附图说明

图1为背景技术拟态安全防御原理示意图；

图2为背景技术裁决错误示意图；

图3为本发明方法的实现模块示意图；

图4为本发明方法的实现流程示意图；

图5为本发明实施例示意图。

具体实施方式

下面结合实施例对技术方案作进一步的详细描述。

一种拟态裁决参数消息同步的装置，包括输入代理器、冗余控制器、至少两个异构功能等价体、输出代理器；输入代理器用于收到外部服务请求后根据冗余控制器的代理策略，将外部服务请求发送给选定的一个或者多个异构功能等价体；异构功能等价体用于产生裁决参数并发送给冗余控制器；冗余控制器，用于对异构功能等价体的裁决参数进行重新排序、整形和比较，并将裁决结果通知输出代理器；输出代理器用于根据冗余控制器的裁决结果将对应的等价体的输出作为外部服务响应进行发送；

作为优选方案，如图3所示，异构功能等价体包括裁决参数存储模块、裁决参数响应模块；其中：

裁决参数存储模块，在收到输入代理器发送的外部服务请求后，产生一至多个裁决参数，裁决参数包括但不限于路由转发表、协议转换表、配置参数表、数据判定结果、转发报文等；

裁决参数响应模块，在收到冗余控制器的请求消息后，将裁决参数存储模块中的裁决参数全部发送给冗余控制器，并清空裁决参数存储模块；

所述冗余控制器包括裁决参数请求模块、裁决参数接收模块、裁决参数整形模块、比较裁决模块；其中：

裁决参数请求模块，用于定时向每个异构功能等价体发送裁决参数请求消息；

裁决参数接收模块，用于在裁决参数请求模块发送定时请求消息后，接收异构功能等价体发出的裁决参数，如果超过设定时间未收到，则关闭本次接收；所述的设定时间由配置或者默认值确定；

裁决参数整形模块，对收到的裁决参数，根据关键字对裁决参数进行重新排序；关键字由配置确定。

比较裁决模块，对整形后的等价体裁决参数两两进行相似度比较，裁决出相似度最大的异构功能等价体作为输出响应的等价体，并将裁决结果发送给输出代理器。

下面是一个具体的实施例，如图4所示，在拟态路由器系统中，输入代理器收到外部网络数据包后，将数据包发送给3个异构功能等价体；异构功能等价体在接收到数据包后，主要进行两类工作：(1)对于路由协议包，进行路由协议运行，生成路由转发表，在本实施方案中选择路由转发表为该拟态路由器系统的拟态裁决参数，因此还需要将路由转发表存储在裁决参数存储模块；(2)对于数据转发包，根据路由转发表，将数据包标记上对应的出端口，发送给输出代理器；输出代理器接收到3个异构功能等价体的数据包后，根据冗余控制器的输出仲裁策略，选择其中一个异构功能等价体的输出作为外部服务响应进行发送，从对应数据包标记上对应的出端口转发出去。

根据本发明的拟态裁决参数消息同步机制(图5)，流程如下：

(1)冗余控制器的裁决参数请求模块定时向每个异构功能等价体发送裁决参数请求消息，在本实施方案中将定时时间设置为5秒，可根据用户配置选择其他值；

(2)异构功能等价体在收到裁决参数请求模块的请求消息后，将裁决参数存储模块中存储的裁决参数，即路由转发表批量发送给裁决参数接收模块，并清空裁决参数存储模块；裁决参数存储模块准备接收下一次的外部服务请求；

(3)冗余控制器中，裁决参数请求模块在发送定时请求消息后，裁决参数接收模块开始接收裁决参数响应模块发出的裁决参数，如果在30ms内未收到，则关闭本次接收；

(4)冗余控制器对收到的裁决参数，根据路由转发表的目的ip地址为关键字，对裁决参数重新排序，整形为顺序排列的路由转发表，路由表中通常包括目的ip地址、下一条地址、出端口等信息，在目的ip地址为关键字对路由表进行重新排列后，即使各个异构功能等价体上的原始路由表排序不一致(异构功能等价体3)，但是在整形后，如果各个异构功能等价体上的路由条目相同，则会形成相同的路由转发表；

(5)冗余控制器对整形后的3个异构功能等价体裁决参数进行两两比较，即选择其中2个路由转发表进行比较，得出1个相似度值，一共得出3个相似度值，例如(等价体1、等价体2)相似度80％，(等价体1、等价体3)相似度60％，(等价体2、等价体3)相似度40％，其中等价体1参与比较的相似度最高，根据最大相似度原则，裁决异构功能等价体1为输出代理器的选择响应等价体，冗余控制器将裁决结果发送给输出代理器，输出代理器根据异构功能等价体1的输出作为数据包从相应端口发送。

以上所述，仅为本发明的较佳实施例而已，井非用于限定本发明的保护范围。

综上所述，本发明提供一种拟态裁决参数消息同步的方法及装置，通过拟态裁决参数的定时批量同步、参数整形等方案，有效降低由于消息乱序、丢包等导致的裁决错误概率，增大了拟态安全系统的可靠性。